PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations

Cette étude présente PixelConfig, un cadre d'analyse rétro-ingénierie révélant que les configurations par défaut du Meta Pixel entraînent une adoption massive de fonctionnalités de suivi d'activité et d'identité sur les sites web, y compris ceux liés à la santé, où le suivi d'informations sensibles persiste malgré la mise en place limitée et souvent inefficace de mécanismes de restriction.

L'essentiel

Imaginez que vous entrez dans un magasin de vêtements. Vous regardez une chemise, vous touchez un pantalon, puis vous partez sans rien acheter.

Dans le monde réel, le vendeur pourrait vous dire : « Ah, vous aimiez cette chemise bleue ! » la prochaine fois que vous revenez. C'est normal.

Mais imaginez maintenant que ce magasin est Internet, et que le vendeur est Meta (la société mère de Facebook et Instagram). La « chemise bleue », c'est votre visite sur un site web. Et le vendeur ? Il a installé un petit pixel invisible sur chaque site web du monde.

Ce papier de recherche, intitulé PixelConfig, raconte l'histoire de comment des chercheurs ont décidé de démanteler ce vendeur pour voir exactement ce qu'il fait, comment il est programmé, et surtout, ce qu'il fait quand vous visitez des sites de santé (comme des hôpitaux ou des pharmacies en ligne).

Voici l'explication simple, avec quelques analogies pour rendre les choses claires.

1. Le Pixel : Un espion qui ne dort jamais

Un « pixel de suivi » n'est pas une petite image. C'est un bout de code informatique invisible.

• L'analogie : Imaginez un petit robot invisible collé sur le mur de chaque magasin du monde. Dès que vous entrez, il prend des notes : « Il a regardé les chaussures », « Il a cliqué sur le bouton 'Acheter' », « Il a lu l'article sur les maux de dos ».
• Le problème : On savait que ces robots existaient, mais on ne savait pas exactement comment ils étaient programmés. Est-ce qu'ils sont tous pareils ? Est-ce qu'ils sont plus curieux sur les sites de santé que sur les sites de mode ?

2. La Méthode : Le « Détective de Code » (PixelConfig)

Les chercheurs ont créé un outil appelé PixelConfig. C'est comme un laboratoire de démantèlement.

• L'analogie : Au lieu de juste regarder le robot de loin, ils l'ont pris, ils ont ouvert son cerveau (le code), et ils ont commencé à retirer des pièces une par une pour voir ce qui se passait.
  • « Si je retire cette ligne de code, le robot arrête-t-il de noter les clics ? »
  • « Si je change ce réglage, le robot envoie-t-il moins d'informations ? »
• Ils ont aussi créé un « faux site web » pour tester tous les boutons de réglage que Meta propose aux entreprises, afin de comprendre exactement ce que chaque bouton fait.

3. Ce qu'ils ont découvert : Le « Réglage par Défaut » est dangereux

La découverte la plus surprenante, c'est que la plupart des sites web ne font aucun effort pour protéger leurs visiteurs. Ils laissent le robot réglé sur « Tout enregistrer ».

• L'analogie : C'est comme si vous achetiez une voiture neuve, et que par défaut, le tableau de bord était réglé pour envoyer votre position GPS, votre vitesse et vos conversations à un tiers, sans que vous ayez besoin d'appuyer sur un bouton. La plupart des conducteurs (les propriétaires de sites web) ne changent jamais ce réglage.
• Les chiffres : Jusqu'à 98,4 % des sites utilisent ces réglages par défaut. Cela signifie que presque tout le monde est espionné automatiquement.

4. Le Cas Spécial : Les Sites de Santé

C'est là que ça devient inquiétant. Les chercheurs ont comparé des sites de santé (hôpitaux, médecins) avec des sites classiques (mode, tech).

• Ce qu'ils ont vu : Sur les sites de santé, le robot invisible est encore plus curieux.
  • Il enregistre quand vous cherchez « traitement pour l'acné ».
  • Il note quand vous cliquez sur un bouton « Prendre rendez-vous pour une consultation sexuelle ».
  • Il suit même les recherches sur des maladies sensibles comme la dysfonction érectile ou le VIH.
• L'analogie : Imaginez que vous entrez dans un cabinet médical pour une consultation très privée. Au lieu de fermer la porte, le médecin laisse une caméra filmer tout ce que vous dites, et envoie une copie de la vidéo à un vendeur de publicité pour qu'il puisse vous vendre des médicaments plus tard. C'est exactement ce que font ces pixels.

5. Les « Verrous » (Tracking Restrictions) : Des serrures en carton ?

Meta a réalisé que c'était un peu trop, surtout avec les lois sur la santé (comme HIPAA aux USA). Ils ont donc créé des « verrous » ou des modes de sécurité (comme le Core Setup) censés empêcher le robot de voir les informations sensibles.

• Le problème :
  1. Peu de gens les utilisent : Seulement environ 34 % des sites de santé ont activé ce mode de sécurité.
  2. C'est inefficace : Même quand le verrou est activé, le robot trouve des astuces pour continuer à espionner.
• L'analogie : C'est comme si Meta vous vendait un coffre-fort pour protéger vos bijoux. Mais le coffre-fort a une porte mal fermée, et le voleur (le robot) peut quand même passer la main à travers pour voler les bijoux. De plus, la plupart des gens ne ferment même pas la porte du coffre-fort !

En résumé

Ce papier nous dit que :

1. Nous sommes tous espionnés par défaut quand nous naviguons sur le web.
2. Les sites de santé sont des zones à haut risque où des informations très intimes (maladies, rendez-vous médicaux) sont collectées et envoyées à Meta, souvent sans que les utilisateurs le sachent.
3. Les solutions de sécurité existent mais sont mal utilisées, mal configurées, ou contournées par le système lui-même.

C'est un peu comme si le monde numérique avait un système de surveillance automatique très puissant, et que personne ne prenait la peine de l'éteindre ou de le régler correctement, même dans les endroits où la vie privée devrait être sacrée.

Résumé technique

Voici un résumé technique détaillé de l'article de recherche "PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations", présenté en français.

1. Problématique et Contexte

Les pixels de suivi (tracking pixels) sont des outils essentiels pour les campagnes publicitaires en ligne, permettant le ciblage, le retargeting et le suivi des conversions. Bien que la recherche antérieure se soit concentrée sur la prévalence de ces pixels sur le web (combien de sites en utilisent), elle a négligé une question cruciale : comment sont-ils configurés ?

Un même pixel (ici, le Meta Pixel de Facebook) peut être configuré différemment d'un site à l'autre, modifiant radicalement son impact sur la vie privée. Les défis techniques pour étudier ces configurations sont majeurs :

• La documentation publique est souvent vague.
• L'accès aux portails des annonceurs est impossible pour les chercheurs.
• L'analyse dynamique (crawling) est incomplète car elle nécessite de simuler des interactions utilisateur complexes.
• L'analyse statique du code est difficile en raison de l'obfuscation et de la minification du JavaScript.

L'article se concentre spécifiquement sur les sites de santé, où la collecte de données sensibles (rendements médicaux, conditions spécifiques) soulève des préoccupations réglementaires majeures (HIPAA, FTC, HHS).

2. Méthodologie : Le Framework PixelConfig

Les auteurs proposent PixelConfig, un cadre d'analyse différentielle combinant des approches statiques et dynamiques pour inverser l'ingénierie (reverse-engineer) les configurations du Meta Pixel.

Les étapes clés de la méthodologie :

1. Patching de Code (Ablation) : Les auteurs modifient itérativement le script de configuration du pixel (en commentant ou supprimant des lignes spécifiques) pour isoler l'effet de chaque paramètre.
2. Analyse Différentielle du Trafic : Ils rejouent le script "patché" dans un navigateur (via Chrome DevTools) et comparent le trafic réseau généré avec celui du script original envoyé aux serveurs de Meta. Cela permet de mapper précisément quelle ligne de code déclenche quel type de données.
3. Validation par Test Contrôlé : Ils créent un site de test, s'inscrivent sur le compte développeur Meta, et activent/désactivent manuellement des fonctionnalités dans le Meta Business Manager. Ils observent les changements dans le script de configuration côté client pour valider leurs hypothèses.
4. Analyse Longitudinale (Wayback Machine) : Ils utilisent l'archive du Wayback Machine pour collecter les scripts de configuration du Meta Pixel sur 18 000 sites de santé et un groupe témoin de 10 000 sites principaux (Top 10K) sur une période allant de 2017 à 2024.

Catégories d'analyse :

• Suivi d'activité : Événements automatiques (clics de boutons, métadonnées de page).
• Suivi d'identité : Utilisation de cookies (1ère et 3ème partie), adresses IP, et correspondance avancée (AAM) pour les données personnelles (PII).
• Restrictions de suivi : Mécanismes comme Core Setup et les clés noires/sensibles (Unwanted Data) destinés à limiter le partage de données.

3. Contributions Clés

• Framework de Reverse-Engineering : Création de PixelConfig, capable de décoder les configurations obscures du Meta Pixel en corrélant le code source, le trafic réseau et les paramètres de configuration.
• Première étude longitudinale des configurations : Analyse temporelle détaillée de l'évolution des paramètres de suivi sur une décennie, reliant les changements de configuration aux actions réglementaires.
• Focus sur la santé : Mise en évidence des risques spécifiques liés à la collecte de données de santé sensibles, souvent ignorés dans les études générales sur le suivi publicitaire.
• Open Source : Publication du code et des données pour faciliter les recherches futures.

4. Résultats Principaux

Les résultats révèlent que l'adoption des fonctionnalités de suivi est largement pilotée par les paramètres par défaut et les incitations de Meta, plutôt que par des choix délibérés des annonceurs.

A. Suivi d'Activité (Activity Tracking)

• Événements Automatiques : Des fonctionnalités comme la collecte automatique des clics de boutons (SubscribedButtonClick) et des métadonnées de page (Microdata) ont été adoptées par 98,4 % des sites (santé et contrôle confondus) à leur pic. Cela est dû au fait que ces options sont activées par défaut.
• Outils de Configuration : L'outil Event Setup Tool permet de créer des événements personnalisés. Les auteurs ont trouvé des preuves que des sites de santé utilisent ces outils pour suivre des interactions sensibles, telles que des clics sur des boutons liés à des conditions médicales spécifiques (ex: "dysfonction érectile", "VIH", "avortement", "santé mentale").

B. Suivi d'Identité (Identity Tracking)

• Cookies de Première Partie : Pour contourner le blocage des cookies tiers, Meta a introduit des cookies de première partie (_fbp, _fbc). Ils sont activés par défaut et adoptés par 98,4 % des sites. Cela permet un suivi persistant même lorsque les cookies tiers sont bloqués.
• Correspondance Avancée Automatique (AAM) : Bien que non activée par défaut, l'AAM (qui hache et envoie des données comme l'email, le téléphone, la date de naissance) a vu une adoption massive. Cependant, son utilisation sur les sites de santé a chuté après 2022, probablement en réponse aux avertissements de la FTC et du HHS.

C. Restrictions de Suivi (Tracking Restrictions)

• Mise en œuvre limitée : Les mécanismes de restriction comme Core Setup (qui limite les données partagées au nom de domaine uniquement) et les clés sensibles (sensitive_keys) sont peu adoptés.
  • Core Setup : 34,3 % des sites de santé et 8,7 % des sites de contrôle en 2024.
  • Clés sensibles : Seulement 25,4 % sur les sites de santé.
• Efficacité contestable : Même lorsque ces restrictions sont activées, elles sont souvent inefficaces.
  • Certains sites activent Core Setup mais continuent de partager des URLs complètes sous forme de hachage SHA-256 dans les paramètres, contournant ainsi la restriction.
  • Des sites hébergent plusieurs pixels, dont certains sont en Core Setup et d'autres non, permettant la fuite de données.

5. Signification et Impact

• Risques pour la Vie Privée : L'étude démontre que les sites de santé collectent et partagent massivement des données sensibles (rendements médicaux, conditions spécifiques) avec Meta, souvent via des configurations par défaut que les propriétaires de sites ne modifient pas.
• Échec des Protections Réglementaires : Malgré les avertissements de la FTC et du HHS et l'introduction de nouvelles fonctionnalités de protection par Meta, l'adoption de ces protections reste faible et incomplète. Les mécanismes de restriction actuels peuvent être facilement contournés.
• Design Éthique et "Dark Patterns" : Les auteurs soulignent que Meta utilise des "dark patterns" (modèles sombres) dans son interface, en activant par défaut les options les moins protectrices de la vie privée et en rendant la désactivation complexe (ex: désactiver les cookies de première partie nécessite plusieurs étapes).
• Implications Réglementaires : Ces résultats suggèrent que la simple existence de fonctionnalités de protection ne suffit pas ; une surveillance continue et une régulation plus stricte sur les configurations par défaut sont nécessaires pour protéger les données de santé.

En conclusion, PixelConfig révèle que le Meta Pixel, tel qu'il est configuré sur le web, constitue un vecteur majeur de surveillance, en particulier dans le secteur de la santé, où les protections réglementaires sont souvent contournées par défaut ou par des contournements techniques.